Noll
Drone entusiaster och ägare av enheter som gjorts av DJI behöver ladda ner en kompatibel app för att styra sina leksaker i luften.
Detta är relativt enkelt — du ladda ner mobil app för Apples iOS eller Googles Android-operativsystem, installera “DJI Gå” – program och bort du gå.
Men, besökare på webbplatsen kan vara vilseleds i exakt var de finns att ladda ner deras program.
Ett inlägg som publiceras på GitHub beskriver problemet. När användare går via DJI webbplats för att hämta ner den nödvändiga appen till sin smartphone eller tablett, möts de med en “Get It On Google Play” – bild.
CNET: Facebook enligt uppgift anser spammare bakom massiva hacka
Detta innebär dock inte att gå till Google Play store, istället, att klicka ladda ner en .APK-filen direkt från DJI servrar till en enhet.
Det är också en “Nedladdning på App Store” – knapp som inte direkt användare till Apples App Store.
DJI erbjuder den officiella appen med både butiker, tillsammans med skanningsbar QR-koder — Android-versionen som drar också .APK direkt från DJI och inte Google Play, enligt forskaren.
Intressant, det verkar också som app version på servern skiljer sig något. Enligt den anonyma källan, “konfigurationsfiler finns i DJI version som inte finns i Google Play’ s version,” och det är några bild-filer och källkod skillnader mellan de två.
Det är viktigt att notera att det inte finns några bevis som tyder på att på något sätt DJI servrar är osäker eller har äventyrats.
Detta är dock inte poängen.
När du laddar ner ett program från App Store eller Google Play, du är medveten om att appen har genomgått ett antal säkerhets-kontroller och processer för att kontrollera att det program du håller på att ladda ner och köra är inte skadlig.
Medan vissa appar gör oundvikligen att glida nätet, i allmänhet, appar laddas ner från dessa officiella källor är betydligt säkrare än de som hämtat från tredje parts servrar.
Internet är idel falska och skadliga versioner av legitima program som är lagrade i tredje parts servrar för nedladdning. Om en användare laddar ner och installerar dessa program, kan detta leda till övervakning, konto kapning och mobila enheter att bli smittade med allt från Trojaner ransomware.
TechRepublic: Topp 5 sätt att maximera kundens datasäkerhet
Dessutom har det förekommit fall av legitima servrar som erbjuder appar utanför dessa butiker äventyras av angripare och laddad med malware.
Genom att använda en knapp för att utropa att appens källkod är från Google Play, användare får höra att appen kommer från just detta, betrodd källa. Det är vilseledande och även om den visar helt enkelt ett förbiseende, inte borde ha tillåtits uppstå.
Om en användare är glada att ta den risken för att hämta en mobil applikation utanför App Store eller Google Play, det är fint-men båda hållen, är källan för att hämta bör göras tydligt för användaren i första hand.
Se även: Oceansalt cyberattack våg kopplad till nedlagda Kinesiska APT Kommentar Crew
Google rapporterades informerade i frågan men kom fram till att problemet var utanför företagets verksamhetsområde.
Uppdatering 13.24 BST: DJI bekräftat att ZDNet att länken var ett förbiseende. En DJI talesman sade:
“Kort sagt, det här var en olycka. Varje logotyp är avsedd för att länka till sin förmedlas källa — som du notera det i din artikel, är hur det är med App Store alternativ. Vi uppskattar att bli informerade av misstag och har redan fixat länken.”
I förhållande till skillnaden mellan konfigurationsfiler, talesman sade:
“Skillnaden är helt enkelt på grund av att 100mb gräns på Google Play resurs paket. Våra APK-paket som är större än 100mb så att när användare ladda ner appen på Google Play, som de också ladda ner en resurs korrigering som innehåller den återstående info som behövs för en lyckad installation.”
Tidigare och relaterade täckning
MIT uppfinning bygger minne murar för att skydda mot Härdsmälta, Spectre attacker Skaparen av remote access-verktyg LuminosityLink skickas bakom barer Noll dagar, fileless attacker är nu en av de farligaste hoten till företaget
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0